Miközben az elkobzott titkosított telefonok egy része kemény diónak bizonyul a hatóságok számára, az iPhon X telefon Apple Face ID „foolproof” arcfelismerő technológiáját vietnami szakemberek feltörték alig egy héttel a nyilvános bemutató után.
A vietnami Bkav biztonsági cég kutatói bemutatták, hogy egy 3D-s nyomtatóval, szilikonnal, sminkkel és kétdimenziós képekből létrehozott maszkkal mindössze 150 dollár anyag felhasználásával felnyithatják a lezárt telefont.
Forrás: pcforum.hu
A Bkav a Threatpost Gyakori Feltett Kérdések rovatában azt állította, hogy a koncepció bizonyítéka (PoC) azt mutatja, hogy az Apple azon állítása, miszerint a technológiát nem lehet becsapni, cáfolható, az Apple megoldása egyszerűen „nem elég jó” – nyilatkozta a cég. Az Apple válaszában kitért arra, hogy vannak olyan esetek, amikor az iPhon X PIN kódot is kér az arcazonosítás mellé. Ezek a szituációk a következők:
Az eszköz éppen be volt kapcsolva vagy újraindult.
A készüléket nem nyitották meg, több mint 48 órán keresztül.
A jelszót nem használták fel a készülék feloldására az elmúlt hat és fél napban, és az arcazonosító nem nyitotta ki az eszközt az elmúlt 4 órában.
A készülék távoli zárolási parancsot kapott.
Öt sikertelen arc-azonosítási próbálkozás után.
A kikapcsolás / vészhelyzeti SOS bekapcsolása után a kezelési kézikönyv utasításai szerint.
Paul Norris a Tripwire vezető rendszermérnöke szerint: “Az arcazonosító hitelesítésének megkerülése érdekében a támadónak részletes lenyomatot kell vennie a felhasználó arcáról, ebből maszkot kell készítenie az áldozat arcának pontos részleteivel, öt próbálkozáson belül fel kell oldania a telefont, és mindezt 48 órán belül kell befejezze” fejtette ki a Threatpost-ban küldött nyilatkozatában. “Ez úgy tűnik, mint egy valószínűtlen eseménysorozat.” – vonta le a következtetést.
A Bkav Gyakori Feltett Kérdéseiben hiányoznak olyan kulcsfontosságú háttérinformációk, amelyek mellett nem lehet egy vállrándítással elmenni. Például a kutatók nem adtak meg rész információkat a maszk építéséről (milyen 3D technológiákat használtak?), továbbá arról sem, hogy írtak-e, vagy mit írtak be az eszközbe, és hány próbálkozás történt a kód beírása előtt. Van egy vélekedés miszerint a beépített AI-t be lehet úgy tanítani, hogy engedélyezze a feloldást egy érvénytelen arcfelismerési kísérlet után is, az érvényes PIN kód bevitelével. Másrészt a felhasználó öt hitelesítési kísérletét követően, mindenképpen jelszó szükséges, és 156 óra elteltével frissíteni kell a jelszót függetlenül attól, hogy hányszor lett feloldva egy eszköz, mindez megkérdőjelezheti a Bkav által elért eredményeket.
Bkav elmagyarázza, hogy a támadás kikerüli az arcfelismerő technológia mögött álló mesterséges intelligenciát ( AI ), amit 2008-tól értenek és fel tudnak törni, így kerülték meg a Toshiba, a Lenovo és az Asus laptopok hasonló technológiáját. A régebbi támadásokhoz a felhasználó digitális képét használták a gépek hozzáféréséhez , egy ilyen támadást be is mutattak a Black Hat DC konferencián.
Az áttörés kétséget kizáróan jókor jött, éppen akkor, amikor az FBI, egy másik, a titkosítást és a biztonságos üzenetkezelő platformokat aláásó nyilvános kampányt indított. Az FBI elkobozta a november 6-i, 26 halottat követelő Texasi mészárlásban az állítólagos lövészhez tartozó zárolt mobiltelefont. Az iroda elismerte, hogy nem képes feloldani, mint ahogyan tavaly a San Bernardino terrorista telefonját sem, ami az Apple-FBI liaisonját indította el.
“Mivel az arcazonosítót a maszkunk megverte, az FBI, a CIA, az ország és a nagyvállalatok vezetõi stb. nem érezhetik biztonságban magukat, tudniuk kell a témáról, mert eszközeik célpontjai lehetnek illegális kinyitási kísérleteknek. A feltörés nehéz a normál felhasználóknak, de a szakemberek számára nem jelent túl nagy nehézséget” mondták a Bkav kutatói. “A potenciális célok nem a mezei felhasználók, hanem a milliárdosok, a nagyvállalatok vezetői, a nemzetvezetők és az ügynökök, mint például az FBI emberei, akiknek meg kell érteniük az arcazonosító üzenetét. A biztonsági egységek versenytársai, a vállalatok üzleti versenytársai, sőt, a nemzetek is húzhatnak hasznot az eredményeinkből.”
Bkav azt is állítja, hogy tovább dolgoznak, annak ellenére, hogy az Apple azt állítja, hogy az arcazonosító folyamatosan tanul minden hitelesítési kísérletből, hogy javítsa a felhasználó arcának matematikai ábrázolását. Szerintük az, hogy az Apple Face ID újabb és újabb képeket tanul meg az nagyon jó, de nem befolyásolja, hogy az Apple Face ID nem elég hatékony biztonsági intézkedés.
A módszer hatékonyságát szemlélteti a támadásról szóló video, ahol a telefon egy pillanat alatt felnyílik mihelyt eltávolítják a maszkot takaró kendőt. A kutatók elmagyarázzák, hogy a maszk a 3D-s nyomtatás és a kézzel készített konstrukció keveréke; a maszk orrát egy művész építette szilikonból. További csavar a történetben, hogy a telefon még akkor is kinyit, ha a felhasználó csak fél arcát mutatja.
“Kipróbálhatja saját iPhone X-jével, a telefon felismeri Önt még akkor is, ha az arc felét lefedi” – mondták. “Ez azt jelenti, hogy az felismerési mechanizmus nem annyira szigorú, mint gondolná, az Apple úgy tűnik, túl sokat bízott az arcazonosító AI-jére .Mindössze egy fél arcra van szükségünk ahhoz, hogy létrehozzuk a maszkot. Egyszerűbb volt, mint gondoltuk”.
A Techson legkedveltebb kameraszériája még több tudással, funkcióval és ellenállhatatlan intelligenciával hódít. Amire egy kamera csak képes lehet, azt az MS6-os tudja! Ismerd meg a széria lehengerlő funkcióit cikkünkből!
Bővebben »
Az alvázvizsgálat elvégzésében manapság már olyan technikai támogatásra támaszkodhatunk, amely nagyban megkönnyíti, felgyorsítja és kiszélesíti a vizsgálatot. A ZNZ Biztonságtechnika által kínált legújabb megoldás holland fejlesztés és Hollandiában is készül.
Bővebben »
Cikkünben megvizsgáljuk a Ksenia Security IoT platformjának, a lares 4.0-nak előnyeit és néhány olyan funkciót, amelyek egyedülálló megoldássá teszik a piacon.
Bővebben »
Bő másfél hónappal a Pegasus-botrány kirobbanás után az Apple kiadta a kémprogram működését ellehetetlenítő frissítéseket. A lépés a vállalat termékeinek szinte egészét érinti, így az iPhone-ok mellett az iPadekhez, az Apple Watch-okhoz, illetve a Macekhez is újabb szoftververzió érkezett.
A Microsoft egy olyan biztonsági funkciót jelentett be, amellyel az IoT-eszközök biztonsági problémáira lehet fényt deríteni – számol be róla híranyagába a biztonságportál.
Az adathalászat jelentős átalakuláson megy keresztül a szemünk láttára. A PhaaS szolgáltatásokkal személyre szabott adathalász eszközöket lehet létrehozni – számol be róla közérdeklődésre számot tartó cikkében a Biztonságportál.
Újabb termékekkel lépne piacra az okosotthon-szegmensben egy-másfél éven belül az Apple, mely a HomeKittel már korábban felépített egy meglehetősen robusztus rendszert, ám az ökoszisztémába illeszkedő saját eszközök tekintetében versenytársai jobban állnak nála.
Léteznek olyan technológiák, amelyek lehetővé teszik, hogy a támadók távolról feltörjenek telefonokat és kémkedjenek. Ehhez elég lehet például, ha a támadók elküldenek egy szöveges üzenetet az adott készülékre, amelyre a kémprogram magától települ.
Az Apple csütörtökön azt ajánlotta bizonyos iPhone, iPad és Mac modellek tulajdonosainak, hogy frissítsék az operációs szoftvert, mert olyan biztonsági hibát tartalmaz, amely lehetővé teszi az ellenőrzés átvételét a készülékek felett.
